|
Log-Analyse und Auswertung: Bitte Hijack auslesen!!! Danke!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.10.2004, 12:17 | #1 |
| Bitte Hijack auslesen!!! Danke! Hallo, bin neu hier und werde einen mail-wurm nicht los. spy-bot und lavasoft-ad-aware habe ich durch, finden nix mehr. mit dem BHO-Demon habe ich nur adobe gefunden, und das ist ja ok. Logfile of HijackThis v1.98.2 Scan saved at 13:07:53, on 01.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Office51\SOINTGR.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\BHODemon 2\BHODemon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ\Icq.exe C:\Dokumente und Einstellungen\Patzwahl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versicherungsmakler-patzwahl.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\Office51\SOINTGR.EXE O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{4110F855-EAE6-460D-96C5-461B44044A58}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{EFEAB464-DBD8-4D08-ABCB-5BD0E4418A46}: NameServer = 217.237.150.33,194.25.2.129 Vielen Dank für Eure Info!!! Grüße ein frustrierter Frank Ach so: ich nutze XP PRO. |
01.10.2004, 12:32 | #2 |
Administrator, a.D. | Bitte Hijack auslesen!!! Danke! Hallo,
__________________überprüfe diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\bawindo.exe Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. http://www.mwti.net/antivirus/free_utilities.asp Poste danach die Virus Log Information des eScan, sowie ein neues HJT Log-File.
__________________ |
01.10.2004, 12:43 | #3 |
| Bitte Hijack auslesen!!! Danke! Hi,
__________________danke für die prompte Hilfe. Hier das Ergebnis: Service load: 0% 100% File: bawindo.exe Status: INFECTED/MALWARE Packers detected: None AntiVir Worm/Bagle.AR (2.36 seconds taken) Avast Win32:Beagle-AO (4.62 seconds taken) BitDefender Win32.Bagle.AU@mm (4.94 seconds taken) ClamAV Worm.Bagle.AP (14.06 seconds taken) Dr.Web Win32.HLLM.Beagle.18688 (8.96 seconds taken) F-Prot Antivirus W32/Bagle.AM@mm (0.73 seconds taken) Kaspersky Anti-Virus I-Worm.Bagle.as (7.91 seconds taken) mks_vir Worm.Beagle.Ar (2.77 seconds taken) NOD32 Win32/Bagle.AQ (4.47 seconds taken) Norman Virus Control Bagle.AO@mm (2.12 seconds taken) Könnte mein Problem sein! Wie mach ich das Vieh jetzt unschädlich? Gruß Frank |
01.10.2004, 13:07 | #4 | |
Administrator, a.D. | Bitte Hijack auslesen!!! Danke! Indem du das ausführst und die C:\WINDOWS\System32\bawindo.exe manuell löscht! Zitat:
|
01.10.2004, 13:55 | #5 |
| Prob gekillt!!!! Hi, danke nochmal für die Hilfe!!! habe mittels folgendem link dem "bagle" den Garaus gemacht: http://vil.nai.com/vil/stinger/ Stinger hat 400 !!!! .exe auf meiner Platte gefunden und gekillt!! Jetzt ist hoffentlich Ruhe. Gruß Frank PS Toll, daß es dieses Forum gibt!! |
01.10.2004, 14:09 | #6 |
Administrator, a.D. | Bitte Hijack auslesen!!! Danke! Ich denke nicht, daß das dein einziges Problem war. Warum führst du also den eScan nicht aus? Es explodiert weder der Monitor noch beißt der Link.
__________________ --> Bitte Hijack auslesen!!! Danke! |
Themen zu Bitte Hijack auslesen!!! Danke! |
.dll, adobe, danke, dateien, dll, einstellungen, explorer, firefox, hijack, hijackthis, hotkey, icq, ics, internet, internet explorer, mail-wurm, messenger, microsoft, mozilla, mozilla firefox, neu, programme, rundll, software, sun java, system, t-online, tcpip, temp, urlsearchhook, windows, windows xp |